クラウドセキュリティの
学び場

SHIFT SECURITY セキュリティの学び場ニュース解説攻撃被害増加傾向の医療クラウド、その対策は

攻撃被害増加傾向の医療クラウド、その対策は

2022.03.23 ニュース解説

今回の解説ニュース
ランサムウェアの攻撃パターンとその手法について
医療クラウドを狙うマルウェア、対策に5つの定義

今回の解説ニュース

CSAジャパン、医療クラウドにおけるランサムウェア攻撃予防対策を紹介

一般社団法人日本クラウドセキュリティアライアンスは2月28日、医療クラウドにおけるランサムウェア攻撃予防対策についてブログで発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

医療クラウドに対するランサムウェア攻撃について発表されています。医療システムを狙ったランサムウェアとセキュリティで気を付けるべきポイントについて説明します。

今回のレポートは、ランサムウェアについて、ファイルを暗号化してアクセスできないようにするものと、デバイスを無能力化するものの2種類が挙げられています。

具体的には、ランサムウェア攻撃は

偵察
配布と展開
窃取と感染
スキャニングとバックアップの破壊・改ざん
ファイルの暗号化
ユーザへの通知とクリーンアップ
支払いプロセス

の7段階の共通パターンがあるとしています。

また、ランサムウェアがシステムに侵入する方法として「フィッシング」「SMSフィッシング」「ボイスフィッシング」「ソーシャルメディア」「インスタントメッセージ」が挙げられています。本レポートでは、医療機関がリスク低減のために、ランサムウェアがシステムに侵入する方法を理解しておく必要があるとしています。

ランサムウェアの攻撃パターンとその手法について

先ほど項目のみを挙げた、ランサムウェアの攻撃パターンと攻撃手法の内容を要約して説明します。

ランサムウェア攻撃の共通パターンとして、ターゲットのシステムへどのように侵入するか調査するための「偵察」から始まります。偵察から得られた情報から、マルウェアの「配布と展開」がなされますが、この際に、攻撃者が繰り返し侵入するための持続性も確保されます。十分にマルウェアが行き届いた段階で実際の「感染活動」に移行しますが、「ファイルを暗号化」をする前に、重要なファイルの「スキャニングやバックアップファイルの暗号化」を行います。

重要なファイルを復元できないようにすることで、ランサムウェアの目的である身代金を確実に獲得できるよう試みます。その後、証拠を隠滅するためにシステムを「クリーンアップ」し、被害者に身代金を「要求」します。なお、「支払い方法」は追跡を困難にさせるために、匿名性の高いビットコインが使用されているということです。

ランサムウェアの攻撃手法として、メールやSMS、SNSなどがフィッシング詐欺に使用されています。ランサムウェアへの感染は、メールの添付ファイルをクリックさせたり、特定のWebサイトからダウンロードさせたりすることで、システムへの侵入を試みます。

また、ランサムウェアを再配布するために、デバイスやユーザの連絡先一覧が悪用されることもあります。その他には、システムの脆弱性をついたり、Web広告にマルウェアが挿入される事例も確認されているということです。

医療クラウドを狙うマルウェア、対策に5つの定義

医療クラウドのマルウェア対策として挙げられている「特定」「防御」「検知」「対応」「復旧」について、こちらも内容を要約して説明します。

情報資産がどこにあるかの「特定」とその「防御」: まず、情報資産がどこにあるか特定することが必要です。これは、医療クラウドに限らず、すべての業界において共通です。
防御では、各ユーザの権限は必要最小限にして、多要素認証を使うことができれば活用しましょう。また、データのバージョン管理や不変性の高いストレージでバックアップを取得することで、ランサムウェアの被害からデータを守ることが期待できます。
エンドポイントを継続的に監視する「検知」: 検知では、エンドポイントを継続的に監視して、脅威が特定されたらエンドポイントを直ちに分離して、管理者に通知する事が必要です。また、次世代ファイアウォールではマルウェアの通信を遮断するために、WebフィルタリングやSSL複合化機能が求められます。
ランサムウェアに感染した際の「対応」: 対応では、システムの隔離をした上で、プログラムの停止とユーザの無効化を行います。ログからランサムウェアの感染源を特定して、どのシステムが影響を受けたか評価します。その後、システムの回復や復旧に向けたトリアージを行い、攻撃者が残したマルウェアが残っていないか確認した上で、フォレンジック調査の準備を行います。
隔離された環境でのチェックから「復旧」: 復旧では、バックアップデータも感染していることを想定して、隔離された環境でセキュリティチェックを行い、異常がないか確認した上で、本番環境へ復元させることを検討します。医療クラウドでも災害復旧であるディザスタ・リカバリの考え方が必要とされています。各工程の詳細については、下記にURLを書いておきますので、興味のある方は確認してみてください。

今回は、医療クラウドのセキュリティ全般についてお届けしました。医療システムのインシデントは人命に直結する問題に発展しかねません。よって、常に高い水準のセキュリティ対策が求められますので、他のシステムでも参考になるのではないでしょうか。